IIS是Internet Information Server的簡稱。IIS作為當今流行的Web服務器之一，提供了強大的Internet和Intranet服務功能，然而在ASP木馬程序泛濫的今天，如何加強IIS的安全機制，建立一個高安全性能的Web服務器，已成為IIS設置中不可忽視的重要組成部分。筆者就工作中的個人經驗，與各位朋友交流商討，如有不當之處，還望指教。

　　由于技術條件的限制，目前大多數企業網，校園網,都采用了免費下載的ASP源程序，這些源程序使用雖然方便，但確存在的很多的安全隱患。當某種網站信息管理系統出現安全漏洞時，則所有采用該系統的網站都將面臨被攻擊的危險，服務器不幸被成功上傳ASP木馬并執行后，服務器中的所有數據完全暴露，黑客可以對服務器文件進行創建、修改、刪除、上傳、下載，服務器數據毫無安全可言，ASP木馬甚至可以運行命令行程序,創建用戶帳號，安裝后門程序，利用系統漏洞將用戶權限提升為管理員權限，此時服務器徹底被黑客控制。由于ASP木馬與正常的ASP文件并無本質的不同，因此很容易進行偽裝、修改，混雜在普通ASP文件中難以分辨，并且ASP木馬也很容易被加密，一般殺毒軟件都不能徹底查殺，這也是不少網站管理人員頭疼不已的問題。鑒于ASP木馬入侵成功需要“上傳“和“執行”兩個步驟，筆者總結了防范ASP木馬的幾條要點,與各位同行交流。

要點一：及時更新安全補丁，避免“默認設置”

　　絕大部分的黑客都是利用各種安全漏洞入侵服務器成功的，所以更新各種補丁是每個網管人員的重要工作。猜測關鍵字也是黑客常利用的手段，所以網站程序、服務器設置，越是與眾不同，安全性就越高。網絡上有將Windows系統的 IIS服務偽裝成Linux系統的Apache服務的做法來迷惑非法入侵者，將數據庫中的數據表、字段命名為不易猜到的名稱來有效防范SQL注入攻擊，及通過改變服務端口號以拒絕試探性的連接，以提高服務器的安全性。

要點二：限制Internet來賓帳戶的訪問權限

　　互聯網用戶一般都是以“Internet來賓帳戶”訪問我們的WEB站點的，因此嚴格控制Internet來賓帳戶的訪問權限也是非常重要的。一般來說，Internet來賓帳戶的訪問權限應該限制在web站點目錄內，且只具有讀取和運行的權限，需要給予寫入權限的文件、文件夾應單獨設置，若無特殊要求,不應該給網站目錄以外的其他目錄任何訪問權限。如將各個分區的根目錄設置為拒絕“Internet來賓帳戶”任何權限時，ASP木馬運行后，將無法訪問各個分區的根目錄，從而保護了其他文件的安全。這在一臺服務器包含多個WEB站點時，即使一個站點被黑，仍可以保護其他站點的文件安全。為使IIS服務在最低權限下運行，還需要考慮“啟動 IIS 進程帳號”的權限設置，以保證IIS服務的正常工作。訪問權限夠用就好，絕不多給。

要點三：仔細考慮站點目錄的執行權限

　　在WEB站點文件中包含ASP程序的目錄是必須給予執行權限的，否則ASP程序將不能執行，其他的目錄則都不應有執行權限，特別是可以寫入的目錄。原則上 “Internet來賓帳戶”具有寫入權限的目錄絕不能給予執行權限”。這要求網站目錄結構設計時就應該考慮。這樣黑客即使利用安全漏洞上傳了ASP木馬，但由于沒有執行權限而無法執行，同樣可以起到保護的作用。若按上文所說的方法設置“Internet來賓帳戶”訪問權限，即使ASP木馬運行，但由于網頁程序代碼文件都是只讀的，ASP木馬也將無法修改網頁程序代碼而無法在被入侵網站上掛木馬病毒，同時無法訪問站點外的文件。

要點四：隱藏或刪除不必要的組件

　　為防范ASP木馬對服務器操作系統的威脅，可以刪除或隱藏不安全的組件，ASP木馬利用的常用組件分別是：FileSystemObject組件、WScript.Shell組件、Shell.Application組件、WScript.Network組件等，對于不需要的組件可以用RegSrv32 /u命令卸載，在CMD命令行窗口中運行以下命令：regsvr32/u C:\WINNT\System32\wshom.ocx regsvr32/u C:\WINNT\system32\shell32.dll
即可將WScript.Shell, Shell.application, WScript.Network組件卸載，可有效防止ASP木馬通過wscript或shell.application執行命令以及使用ASP木馬查看服務器系統的一些敏感信息。需要的組件可以通過修改注冊表，將組件改名。如：修改注冊表中HKEY_CLASSES_ROOT\Scripting.FileSystemObject\為FileSystemObject_ChangeName同時更改clsid值，以后調用的時候使用新名稱就可以正常調用此組件。

　　ASP木馬程序在嚴格細致的權限控制之下，是可以防范的。及時更新安全補丁，限制“Internet來賓帳戶”的權限，大大阻止了ASP木馬的非法上傳，通過細致的IIS站點目錄執行權限設置，又避免了大部分ASP木馬的執行，而不安全組件的隱藏、刪除，又將ASP木馬執行后的危害大大降低，嚴格、綜合、全面的權限體系將使黑客利用ASP木馬入侵WEB站點，傳播木馬病毒的陰謀無法輕易得手。

本文發表于：

總結

以上是生活随笔為你收集整理的IIS如何防ASP木马的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。